Intel publie des correctifs pour des vulnérabilités affectant son Management Engine,
qui pouvaient servir à un attaquant souhaitant exécuter du code arbitraire

Début juillet, Intel a publié les avis de sécurité SA-00112 et SA-00118 concernant les correctifs de vulnérabilités dans Intel Management Engine. Les deux avis décrivent les vulnérabilités grâce auxquelles un attaquant pourrait exécuter du code arbitraire sur le microcontrôleur Minute IA PCH.

Les vulnérabilités sont similaires à celles découvertes par les experts en sécurité de Positive Technologies en novembre dernier (SA-00086). Mais l'histoire ne s’est pas arrêtée là, car Intel a maintenant publié des correctifs pour les vulnérabilités supplémentaires dans son Management Engine.

Produits concernés et sévérités associées

Pour SA-00112, les problèmes affectent Intel Active Management Technology 3.x / 4.x / 5.x / 6.x / 7.x / 8.x / 9.x / 10.x / 11.x utilisé dans les PC d'entreprise (Intel vProTM, Intel AMT), les périphériques IdO, les postes de travail et les serveurs. Ces versions de firmware peuvent être trouvées sur certains produits:
  • Intel Core ™ 2 Duo vPro ™ et Intel Centrino ™ 2 vPro ™
  • Famille de processeurs Intel Core ™ de 1ère, 2ème, 3ème, 4ème, 5ème, 6ème, 7ème et 8ème générations
  • Famille de produits du processeur Intel Xeon E3-1200 v5 & v6 (Greenlow)
  • Famille évolutive de processeurs Intel Xeon (Purley)
  • Famille de processeurs Intel Xeon (Basin Falls)

Les CVE associés sont :

  • CVE-2018-3628, marqué 8,1 / 10 sur l’échelle de sévérité (sévérité élevée) : débordement de la mémoire tampon dans le gestionnaire HTTP dans Intel Active Management Technology dans le micrologiciel Intel Converged Security Manageability Engine 3.x, 4.x, 5.x, 6.x, 7.x, 8.x, 9.x, 10.x, 11.x qui peut permettre à un attaquant d'exécuter du code arbitraire via le même sous-réseau ;
  • CVE-2018-3629, marqué 7,5 (sévérité élevée) : débordement de la mémoire tampon dans le gestionnaire d'événements dans Intel Active Management Technology dans le micrologiciel Intel Converged Security Manageability Engine 3.x, 4.x, 5.x, 6.x, 7.x, 8.x, 9.x, 10.x, 11.x qui peut permettre à un attaquant de provoquer un déni de service via le même sous-réseau ;
  • CVE-2018-3632, marqué 6,4 (sévérité modérée) : corruption de mémoire dans Active Management Technology dans le micrologiciel de gestion de sécurité convergé Intel 6.x / 7.x / 8.x / 9.x / 10.x / 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20 qui peut être déclenchée par un attaquant avec l'autorisation de l'administrateur local sur le système.

Pour SA-00118, les problèmes affectent Intel CSME 11.x utilisé dans les PC grand public / professionnels, les périphériques IdO et les stations de travail. La version de firmware affectée peut être trouvée sur ces produits:
  • Famille de processeurs Intel Core ™ de 6ème, 7ème et 8ème générations
  • Famille de produits du processeur Intel Xeon E3-1200 v5 & v6 (Greenlow)
  • Famille de processeurs Intel Xeon (Basin Falls)

Les CVE associés :

CVE-2018-3627 marqué 7,5 (sévérité élevée) : bogue logique dans le moteur de gestion de la sécurité convergé Intel 11.x qui peut permettre à un attaquant d'exécuter du code arbitraire via un accès local privilégié.

En plus clair

CVE-2018-3627, la vulnérabilité en cause dans l'avis SA-00118, est décrite comme un bogue de logique (pas un dépassement de tampon) qui peut permettre l'exécution de code arbitraire. La facilité d'exploitation rend cette vulnérabilité plus dangereuse que celle de SA-00086, laquelle est exploitable localement uniquement en cas d'erreurs de configuration OEM, alors qu’ici un attaquant a simplement besoin d'un accès local.

Les choses sont encore pires avec CVE-2018-3628 dans l'avis SA-00112. Cette vulnérabilité permet l'exécution de code à distance complet dans le processus AMT du moteur de gestion. De plus, tous les signes indiquent que, contrairement à CVE-2017-5712 dans SA-00086, les attaquants n'ont pas besoin d'un compte d'administrateur AMT.

Intel caractérise la vulnérabilité comme étant un « dépassement tampon dans le gestionnaire HTTP » permettant l'exécution de code à distance sans autorisation. C'est le scénario même qui faisait l'objet de cauchemars pour les utilisateurs d'Intel. Cette vulnérabilité est similaire à CVE-2017-5689, qui a été trouvé en mai 2017 par Embedi mais avec des conséquences encore pires.

Que faire maintenant ?

Il faut déjà noter que, pour CVE-2018-3628, Intel a expliqué que l'exploitation est possible seulement à partir du même sous-réseau.

Quoiqu’il en soit, Intel recommande aux utilisateurs finaux de vérifier auprès de leurs fabricants de systèmes et d'appliquer les mises à jour disponibles dès que possible, en fonction des versions répertoriées ci-dessous, ou d'une version ultérieure :

SA-00112

Nom : Intel_1.png
Affichages : 2711
Taille : 33,4 Ko

SA-00118

Nom : intel_2.png
Affichages : 2441
Taille : 21,5 Ko

Sources : Intel (1, 2)

Voir aussi :

System76 va désactiver Intel Management Engine de certains de ses ordinateurs portables Linux, après la découverte de vulnérabilités
Le moteur d'administration Intel : une porte dérobée sur les cartes mères des PC, qu'on peut désormais désactiver de façon totale
Un malware utilise une fonction sournoise des processeurs Intel pour voler des données et éviter les pare-feu depuis presque dix ans
Moteur d'administration Intel : la firme sort de son silence, un outil de détection des failles sous Windows et Linux est désormais disponible
Intel : la plupart des moteurs de gestion comportent des vulnérabilités, la société devrait fournir un moyen de les désactiver selon l'EFF